De gemeente Amsterdam wil een zwaar beveiligd, draadloos netwerk aan de diensten en stadsdelen gaan aanbieden. De reden daarvoor is dat deze nu op eigen houtje draadloze netwerken installeren, zonder voldoende beveiligingsmaatregelen te nemen. Dat blijkt uit het 'Plan van aanpak technische infrastructuur en applicaties', dat tot doel heeft om het aantal verstoringen in de basis-ict-werkplek terug te dringen.
'De vraag vanuit de gemeente naar draadloze netwerken is al enige tijd gaande', valt te lezen in het Plan van aanpak technische infrastructuur en applicaties. 'Diensten en stadsdelen leggen zelf verbindingen aan met externe partijen en/of installeren draadloze netwerken zonder voldoende beveiligingsmaatregelen te nemen, waardoor ze de achterdeur openzetten.'
Daarom lijkt het nodig 'dat de Dienst ICT een draadloze oplossing gaat aanbieden om zo controle te kunnen houden op met name beveiliging'. Het plan is om een 'highly secured wireless netwerk' aan te bieden. Dat moet bestaan uit 'ongeveer vijfhonderd toegangspunten, wireless lan-controllers en managementserversoftware'.
Schaduwnetwerken
Ook het vaste netwerk van de gemeente blijkt nauwelijks beveiligd te zijn. 'Er bestaat geen intrusion detection op het netwerk, er is geen netwerk performance monitoring en er zijn vele ‘grijze circuit'-acties.'
'Gemeentelijke onderdelen hebben een eigen schaduwnetwerk aangelegd met decentrale netwerkkoppelingen. Hierdoor is geen centraal beheer op netwerkbeveiliging mogelijk.'
Nodeloos complexe structuur
In het algemeen geldt volgens het plan van aanpak dat 'de ict-beveiligingsstructuur enorm ingewikkeld is gemaakt en hierdoor grote impact heeft op het beheer en op projecten. Deze onnodig ingewikkelde structuur staat de migratie naar een centraal hostingplatform in de weg.'
Daarom wil de gemeente in het derde kwartaal van 2011 de beveiliging van de netwerkstructuur gaan vereenvoudigen. Daarbij gaat het niet alleen om het 'kernsysteem', maar ook om verbindingen met 'andere applicaties van bijvoorbeeld ketenpartijen'.
903 beveiligingszones
Daarnaast moet het 'firewallconcept' aangepakt worden. 'Firewalls zijn uiterst complex ingericht en niet te beheren. Het risico op fouten is uiterst groot. Sommige beveiligingsissues zijn niet goed geregeld met het risico op financiële en/of imagoschade door oneigenlijk gebruik.'
Het aantal beveiligingsdomeinen moet worden teruggebracht naar vier. Nu zijn er 43 beveiligingszones voor de acht belangrijkste gemeentelijke diensten. 'Dit komt overeen met 903 relaties tussen deze zones', aldus het document. 'Door het huidige beveiligingsbeleid is configuratie van netwerkcomponenten erg complex. Dit verhoogt de oplostijd bij problemen en het risico van fouten.'
'Aangezien in de datacenter-omgeving bovendien nog een scheiding is doorgevoerd tussen kantoorautomatsering (KA) en non-KA-applicaties zijn deze 43 beveiligingszones ook in beide omgevingen doorgevoerd. Dit heeft geleid tot een nagenoeg onbeheersbare situatie van firewallregels.'
Daarnaast moeten 'kritieke of technisch ongeschikte' firewalls en switches vervangen worden. 'Een aantal netwerkcomponenten voldoet niet aan de huidige architectuur of mist de mogelijkheid om hieraan te kunnen voldoen.'
@Opmerkelijk: Ach, zo opmerkelijk is dat niet. Amsterdam loopt wat betreft de organisatorische inbedding van de digitale wereld gewoon vele jaren achter.
Even een kort historisch overzicht m.b.t. de non-profit sector.
Vanaf halverwege de tachtiger jaren van de vorige eeuw moesten de acht Nederlandse “Groot Technische Instituten” hun eigen broek ophouden. De medewerkers werden van ambtenaar trendvolgers en de dienstverlening moest meer commercieel. De, vaak nieuwe, centrale directie kreeg als hoofdopdracht om van alle losse clubjes één organisatie de vormen. Van alle AfdelingenUnitsSectoren en de sub’s daarvan werd ook de afdeling ICT afgenomen en het eigen, vaak volledig op zichzelf staande netwerk ontmanteld. Er kwam één netwerk, gemanaged door één centrale staf-afdeling waarvan de directeur lid is van de centrale directie.
Zo’n tien jaar later gebeurde, onder druk van de minister van OC&W, hetzelfde met de huidige hogescholen die totdantoe bestonden uit volledig op zichzelf staande HBO-opleidingen, waarvan de enige bindende factor het gebouw was.
Dit hele proces bij de hogescholen heeft zich later, begin deze eeuw, ook voltrokken op de universiteiten waarvan het tempo van voortgang zeer verschilt en sommige nog mee bezig zijn.
Er zijn ongetwijfeld ook nadelen te benoemen aan het samenvoegen van gemeenten, maar één van de voordelen was en is dat de nieuwe gemeente start met een nieuwe, centrale afdeling (dienst) ICT. In een nieuwe organisatorische kolom, met nieuwe systemen, in een nieuw netwerk, met nieuwe ideeënn en een nieuwe focusvisiemissie en vaak met nieuwe leidinggevenden.
En nu zie je dat, al dan niet samengevoegde, gemeenten die toe zijn aan nieuwe systemen of infrastructuur, gaan samenwerken en een één centrale, gemeente overstijgende, Dienst ICT in het leven roepen die met een kleine club specialisten gezamenlijk een datacenter runnen en een gemeente overstijgend netwerk en applicaties beheren.
Maar ja, Amsterdam wordt niet samengevoegd met één of meerdere gemeenten en de rest van de assosiaties laat ik aan de lezer over.
Ik heb ooit eens in een centralisatieslag een projectleider meegemaakt die, na de centrale directie een kwartiertje te hebben aangehoord, zei “Ik snap wat de bedoeling is en dat ga ik zo en zo doen. En wanneer ik dat niet op die manier kan doen, doe ik het niet, want dan wordt het niets”. Zo iemand heeft Amsterdam nodig.
@Alfred: Jaja, de bekende olifant in de porseleinkast die – na een kwartiertje horen wat de bedoeling is – al weet dat er maar één manier is. Zo heb ik bij een centralisatieslag meegemaakt dat – ook in 2e en 3e instantie – maar niet wilde beklijven dat er een werkvoorzieningschap voor hoofdwerkers (tegen wil en dank) onderdeel was geworden van een bepaalde dienst. ICT was daar veruit het belangrijkste productiemiddel(dienstverlening aan derden voor financiële administraties, loonverwerking, documentarchivering/indexering, grafische werkzaamheden voor drukwerk, internetfaciliteiten voor documentpublicatie, enz.). Tot verbijstering van betrokkenen werd in twee jaar tijd tot op de grond toe afgebroken wat er in de 15 jaar ervoor was opgebouwd.
Het is volkomen absurd dat iemand – na een kwartiertje een centrale directie te hebben aangehoord – al weet dat er maar één manier is en het zo en zo gaat doen (of helemaal niet). Bij dit soort dingen moet je een even gedetailleerde kennis van zaken hebben als bijvoorbeeld de verhuizing naar nieuwbouw van een groot ziekenhuis. Anders lacht iedereen zich helemaal slap bij zo’n beetje iedere poging een operatiekamer, warmte-kracht voorziening of wat dan ook te operationaliseren.
@Rob: Je moet de laatste alinea van mijn reactie wel in het juiste perpectief zien.
De toenmalige projectleider zal zich uiteraard terdege hebben voorbereid op de bijeenkomst (intake). Maar soms is zo iemand met een dergelijke instelling nodig om de impasse te doorbreken.
Alles wat ik heb geschreven is enkel en alleen een reactie op de staat van de ICT bij de gemeente Amsterdam en ik hoop dat je de door mij genoemde voorbeelden in het juiste perspectief daaraan kunt relateren.
@Alfred: Kan natuurlijk zijn dat sommige dingen wat al te snel herkenning bij mij oproepen door en inzake opgedane trauma’s. Dat komt ook omdat bestuurders vrijwel in mijn ervaring altijd direct gecharmeerd zijn van allerlei panacee-guru’s. ‘Projectleiders’ hebben in de jaren 2000 een enorme thinclient-only golf veroorzaakt, ook op plekken waar dat helemaal niet (uitsluitend) gewenst was (omdat ze niets van werkplek- en applicatiebeheer afwisten). Talloze overheden betalen daardoor bakken met geld aan Citrix-, TS-CAL compliant licentiemodellen op MS-Office, embedded XP/CE of OEM licenties op de werkplekken en veeeeelteveel serverlicenties op veeeeelteveel slecht beheerde backend-hardware. Leveranciers hebben ze niet meer nodig, want ze namen maar al te graag direct van de distributeurs af zodat fabrikanten ze ongestoord met honderden 4 GByte blade-servertjes vol kunnen proppen terwijl een server met 10 keer zoveel geheugen wel 100 keer zoveel gebruikers kan bedienen (mits verder ook optimaal geconfigureerd). Alles alleen maar omdat distributeurs/fabrikanten/licenceerders ze natuurlijk graag in de waan lieten dat 32-bit maar 4 GByte kon adresseren met matig tot zeer ontevreden eindgebruikers als resultaat.
Na 15 jaar ellende gaat het hele geintje nog eens opnieuw geflikt worden met RemoteFX-achtige verbeterproducten van Citrix/VMware/Microsoft terwijl ieder verhaal normaalgesproken hoort te beginnen bij een volwaardige client. Bij regiopolitie noord-oost konden duizenden mensen na twee maanden nog steeds niet werken en ze begonnen zich al op VDI te verkneukelen (als volgend panacee, dit keer voor problemen die helemaal nooit hadden hoeven bestaan).
ICT-bestuurders en -directies zeggen doodleuk dat ze nergens verstand van hebben en dat ook helemaal niet willen hebben. In iedere andere bedrijfstak zouden ze zich volkomen belachelijk maken. In de ICT kan het allemaal.